Discussione Attacco di Phishing GRAVISSIMO. Ho bisogno di informarvi: Stavate per cliccare la X sul browser? Scaricate di nuovo il culo sulla sedia invece.

Access Denied

Utente Emerald
17 Gennaio 2022
324
87
214
467
È strano però.. mi chiedo come mai su di te abbiano usato il metodo del ransomware.. a me era giunta un'email di puro scam dove chiedevano dei soldi ma non includeva un malware o altri allegati. Deve trattarsi di un tentativo di depistaggio...
 

hck2009

Utente Gold
27 Dicembre 2009
817
21
249
313
È strano però.. mi chiedo come mai su di te abbiano usato il metodo del ransomware.. a me era giunta un'email di puro scam dove chiedevano dei soldi ma non includeva un malware o altri allegati. Deve trattarsi di un tentativo di depistaggio...
No, non mi sono spiegato, mi arrivò un email diversa da quest'ultimo, ho salvato il file doc e l'ho rinominato facendo credere alle persone che inviano queste email false...facendo loro credere che invio dei documenti (questo e quello che cercano). Non si potrebbe fare...ma dato la loro cazzimma con lo spam di tutti i giorni...agisco in questo modo (non è per cattiveria), ma dato che rompono le @@....
 
  • Mi piace
Reazioni: Access Denied

Access Denied

Utente Emerald
17 Gennaio 2022
324
87
214
467
Mi mandi un sample del .doc infetto? Sono curioso di studiarlo anche se già sospetto che sia qualche cagata scopiazzata da qualcuno su github, ma sono comunque curioso... Già immagino che il .doc non me lo fa neanche scaricare l'AV xD
Messaggio unito automaticamente:

Ah manda qua se vuoi, però inforge non accetta i .doc negli allegati, prova a mandarlo in una .zip
Messaggio unito automaticamente:

Non dico il doc infetto che hai mandato tu, dico quello che hanno mandato loro a te ovviamente ^^
 

TheWorm91

Helper
31 Marzo 2022
141
29
47
63
altra mail di phishing appena arrivata a una collega, perlomeno il server di posta l'ha contrassegnata come spam.
Tra l'altro questi geni hanno messo direttamente il loro ip pubblico sul link paga e convalida
mail_phishing.jpg
 

haxo

Helper
8 Maggio 2020
323
20
177
186
altra mail di phishing appena arrivata a una collega, perlomeno il server di posta l'ha contrassegnata come spam.
Tra l'altro questi geni hanno messo direttamente il loro ip pubblico sul link paga e convalida
Visualizza allegato 65437
il problema è che neanche sanno attuarli e farli in modo intelligente

basterebbe un po di ingegneria sociale sul soggetto (spear phishing) per poi attaccare in alcuni punti deboli..
manco un po di HTML e CSS, che disagio
 
  • Mi piace
Reazioni: hck2009

Psychonaut

Utente Jade
17 Giugno 2012
1,372
85
624
744
il problema è che neanche sanno attuarli e farli in modo intelligente

basterebbe un po di ingegneria sociale sul soggetto (spear phishing) per poi attaccare in alcuni punti deboli..
manco un po di HTML e CSS, che disagio
Molto probabilmente sono campagne di phishing su larga scala, fare ingegneria sociale su miliardi di persone diverse è un pò difficile :rofl:.
In quel caso vince la legge dei grandi numeri, prendi un campione piccolo di destinatari, tipo 100 persone, su 100 abboccano 5, ora aggiungi un paio di zeri al campione, di conseguenza aumenterà anche il numero delle vittime che ci cascano e anche il profitto ricavato dalla campagna.
 
  • Geniale
Reazioni: CrazyMonk

haxo

Helper
8 Maggio 2020
323
20
177
186
Molto probabilmente sono campagne di phishing su larga scala, fare ingegneria sociale su miliardi di persone diverse è un pò difficile :rofl:.
In quel caso vince la legge dei grandi numeri, prendi un campione piccolo di destinatari, tipo 100 persone, su 100 abboccano 5, ora aggiungi un paio di zeri al campione, di conseguenza aumenterà anche il numero delle vittime che ci cascano e anche il profitto ricavato dalla campagna.
assolutamente d'accordo, io parlavo per i singoli target!
 

TheWorm91

Helper
31 Marzo 2022
141
29
47
63
Segnalo questo indirizzo: [email protected] ha inviato la seguente mail a un mio familiare che fortunatamente non ha abboccato

Ciao.

Questo e l'ultimo avvertimento.
Ho installato un virus Trojan sul vostro sistema operativo tramite un sito web per adulti che frequentate.
Tutti i dati personali sono stati copiati sui miei server. Ho accesso ai vostri dati personali, ai messenger, ai social network, alle e-mail, alla cronologia delle chat e all'elenco dei contatti.

Il mio virus mi permette di infiltrarmi nel vostro sistema. Si tratta di un virus multipiattaforma con un VNC nascosto.
Funziona su iOS, Android, Windows e macOS.
E crittografato in modo che il vostro sistema non possa rilevarlo, io cancello le sue firme ogni giorno.

Raccogliendo informazioni su di lei, ho scoperto che e un grande appassionato di siti web per adulti.
Ti piace molto visitare siti porno e guardare video sconci mentre hai un orgasmo.

Ho gia fatto una cattura dello schermo. E un montaggio del video pornografico che stavate guardando in quel momento e della vostra masturbazione.
Il vostro viso e chiaramente visibile. Questo video rovinera la vostra reputazione per sempre.

Faro circolare questo video a tutti i vostri contatti e conoscenti, lo rendero pubblico su Internet.
Inoltre, pubblichero tutti i vostri dati personali (chiamate, corrispondenza, cronologia delle visite, foto e video personali, tutti i vostri segreti saranno di dominio pubblico).
Mettero su Internet tutto cio che ho trovato sul vostro dispositivo.

Penso che sappiate cosa intendo.
Questo sara un vero disastro per voi.

Potrei rovinare la tua vita per sempre.

Non credo che tu voglia davvero che cio accada.

Risolviamo la questione in questo modo: voi mi trasferite 1000 Euro (EUR) (in bitcoin equivalenti al tasso di cambio al momento del trasferimento dei fondi), e io cancellero immediatamente tutta questa sporcizia dai miei server.
Dopo di che ci dimenticheremo l'uno dell'altro.

Il mio portafoglio bitcoin per il pagamento: bc1q5rqwu0qyuvrqvr8eysrp2w4vje67kavpw0hy82

Se non sapete come trasferire denaro e che cos'e il Bitcoin. Utilizzate Google.



Vi concedo 2 giorni.


Non cercate di reclamare da nessuna parte, perché non c'e modo di rintracciare il portafoglio, anche la posta da cui proviene la lettera non e rintracciabile e viene creata automaticamente, quindi e inutile scrivermi.
Non cercate di contattare la polizia o altri servizi di sicurezza, altrimenti i vostri dati saranno resi pubblici.
Il timer si e avviato automaticamente.

Ricevo una notifica sull'apertura di questo Cambiare le password dei social network, della posta elettronica, dei dispositivi non vi aiutera perché tutti i dati sono gia stati scaricati sul mio cluster di server.

Buona fortuna e non fate nulla di stupido.
 

TheWorm91

Helper
31 Marzo 2022
141
29
47
63
Appena arrivata una mail di phishing che devo dire è stata fatta a regola d'arte.
Il corpo della mail apparentemente sembra di una ditta di costruzioni del centro italia con tanto di firma del geometra capo cantiere, solo che l'indirizzo del mittente non corrisponde a tale impresa.
L'allegato che è palesemente un malware (CANTIERE.pdf.exe.xz) non è stato rilevato pericoloso nemmeno dall'AV (ovviamente aggiornato) questo mi preoccupa molto.
Stranamente un file con la stessa estensione era stato rilevato come maligno solo qualche giorno fa.​
Ecco la mail incriminata, ho oscurato mittente e il nome dell'azienda
ho analizzato il sorgente della mail e non ho trovato niente di strano a parte il fatto che l'indirizzo del mittente non sembra appartenere a nessuna ditta reale, l'unica cosa che non mi torna nel sorgente è questa
HTML:
X-PPP-Message-ID: <[email protected]>
X-PPP-Vhost: seyhanlarmarket.com.tr
Ho cercato info ma sembra un dominio inesistente.
18102022.png
 

Access Denied

Utente Emerald
17 Gennaio 2022
324
87
214
467
Ultima modifica:
Appena arrivata una mail di phishing che devo dire è stata fatta a regola d'arte.
Il corpo della mail apparentemente sembra di una ditta di costruzioni del centro italia con tanto di firma del geometra capo cantiere, solo che l'indirizzo del mittente non corrisponde a tale impresa.
L'allegato che è palesemente un malware (CANTIERE.pdf.exe.xz) non è stato rilevato pericoloso nemmeno dall'AV (ovviamente aggiornato) questo mi preoccupa molto.
Stranamente un file con la stessa estensione era stato rilevato come maligno solo qualche giorno fa.​
Ecco la mail incriminata, ho oscurato mittente e il nome dell'azienda
ho analizzato il sorgente della mail e non ho trovato niente di strano a parte il fatto che l'indirizzo del mittente non sembra appartenere a nessuna ditta reale, l'unica cosa che non mi torna nel sorgente è questa
HTML:
X-PPP-Message-ID: <[email protected]>
X-PPP-Vhost: seyhanlarmarket.com.tr
Ho cercato info ma sembra un dominio inesistente.
Visualizza allegato 65987
Interessante, puoi aprire questo file in una sandbox o su virtual machine se non hai già eliminato l'email? Sono curioso di sapere che fa dato che a me l'email non è arrivata
Messaggio unito automaticamente:

È raro, ma può succedere che i malware a volte bypassino le sandbox o la macchina virtuale. Apri su un computer fisico che non ti serve proprio, che usi solo per esperimenti se puoi, connesso a un network isolato possibilmente.
Messaggio unito automaticamente:

Almeno per quanto mi riguarda, io nei test sono riuscito a bypassare la virtual machine con i miei malware solo se il guest ha una o più folder in condivisione con l'host, ma non è da escludere che si possa fare con qualche exploit, quindi per sicurezza apri su un computer isolato.
 

TheWorm91

Helper
31 Marzo 2022
141
29
47
63
Ultima modifica:
Interessante, puoi aprire questo file in una sandbox o su virtual machine se non hai già eliminato l'email? Sono curioso di sapere che fa dato che a me l'email non è arrivata
avrei una vm installata sulla mia postazione con debian che potrei disconnettere dalla rete però essendo un exe l'allegato non vedrei come si comporta, se vuoi posso inviarti il file allegato.
Ho provato ad aprire l'allegato exe che mi era arrivato precedentemente con ghidra per vedere se riuscivo a visualizzare il codice sorgente ma mi risultano righe di codice poco comprensibili, l'unica cosa che si vede chiaramente è che vengono richiamate delle librerie per funzionare su sistemi win32
Messaggio unito automaticamente:

Ho analizzato l'allegato su virus total, la maggior parte degli AV non lo rileva come malware!
Avast, AVG, McAfee, Panda, Kaspersky, ESET-NOD32, QuickHeal e altri considerano il file pulito
 
  • Mi piace
Reazioni: Access Denied

Access Denied

Utente Emerald
17 Gennaio 2022
324
87
214
467
Non è possibile, questo tizio è ai miei livelli, non me lo sarei aspettato da un criminale informatico, di solito fanno ridere.
Se il file fa effettivamente qualcosa di interessante, beh davvero stupefacente
 

TheWorm91

Helper
31 Marzo 2022
141
29
47
63
Non è possibile, questo tizio è ai miei livelli, non me lo sarei aspettato da un criminale informatico, di solito fanno ridere.
Se il file fa effettivamente qualcosa di interessante, beh davvero stupefacente
Tienimi aggiornato su come si comporta il file, sono sicuro che mi sai dire meglio tu che del supporto tecnico del mio AV
 

MK90

Utente Iron
2 Novembre 2022
1
0
0
3
Dove lavoro arrivano spesso mail del genere, l'ultima è arrivata giusto venerdì da questo indirizzo [email protected]
Hanno inviato una mail con allegato solo questo file jpg senza inserire link da cliccare per scaricare malware o per fare redirect su portali di fake login per rubare credenziali.
Presumo l'intento sia di farsi ricontattare dal malcapitato per estorcere soldi.
Che pena che fanno...

Visualizza allegato 64645
wow qualità nettamente superiore a quella arrivata a me (che credo fosse più una bozza)...
Messaggio unito automaticamente:

thumbnail_IT.01574A1.jpg
 

Access Denied

Utente Emerald
17 Gennaio 2022
324
87
214
467
Il solo fatto che usano i bambini per perpetrare sta truffa è una vergogna... Chi non è a conoscenza del fatto che la polizia quando indaga realmente non ti contatta mai via e-mail è vulnerabile a quest'attacco. Per fortuna che sto thread sta più o meno sempre in primo piano sul forum grazie alle interazioni casuali che riceve ogni tanto, ed è a 2K di visualizzazioni. Posso dire con certezza di aver informato molte persone potenzialmente vulnerabili fra queste 2.000 che hanno visualizzato. Ne sono fiero. I bambini non si toccano.
 
  • Mi piace
Reazioni: TheWorm91

hck2009

Utente Gold
27 Dicembre 2009
817
21
249
313
Screenshot_1.png


Dai che stanno migliorando :D

P.s. ormai faccio le collezioni...magari un giorno avranno qualche valore...

Non ho capito cosa centri la polizia stradale, poi metà francese...sarà qualche francese che non sa nemmeno il significato di tutto questo.